12 November 2019 Daniel Rink 12 Minuten Lesezeit
Der EuGH hat am 1. Oktober 2019 ein lang erwartetes Urteil zur Einwilligung bei Cookies gefällt (sog. „Planet-49“ Urteil). Wir wollen Ihnen hiermit die wichtigsten Fragen beantworten.
Zuletzt aktualisiert am: 12.11.2019
„Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden” gehört damit (fast immer) der Vergangenheit an.
Bis zu dieser Entscheidung war umstritten, ob für das Setzen und Auslesen von Cookies eine Einwilligung der Nutzer von Internetangeboten erforderlich ist oder nicht.
Das deutsche Recht hat für anonymisierte Profile für Werbezwecke in § 15 Abs. 3 TMG eine Ausnahme vorgesehen, welche die Möglichkeit vorsieht, dass der Nutzer lediglich die Möglichkeit haben muss, der Verwendung zu widersprechen.
Mit dem Urteil des EuGH ist nun aber klar, dass diese Regelung im Widerspruch zum EU-Recht steht. Die als “Cookie-RL” bekannte Richtlinie (RL 2009/136/EG) besagt, dass für das Setzen, ganz gleich, ob ein Bezug zu personenbezogenen Daten vorliegt oder nicht, eine Einwilligung erforderlich ist. Einzige Ausnahme sind sog. “notwendige Cookies”. Hierzu gleich mehr. Für alle anderen Cookies ist eine informiert, freiwillige und ausdrückliche Einwilligung der Nutzer erforderlich.
Grundsätzlich ist klar, dass eine Einwilligung erforderlich ist. Es ist aber nach derzeitigem Stand davon auszugehen, dass (noch) keine Abmahnungen ausgesprochen oder Bußgelder verhängt werden. Der EuGH hat zunächst nur seine vom BGH vorgelegten Fragen beantwortet. Nun ist der BGH an der Reihe, sein Urteil zu sprechen. Letztlich muss jeder für sich selbst abwägen, ob die wirtschaftlichen Vorteile diese Risiken überwiegen.
ABER: Wir beobachten, dass im Internet immer mehr Anleitungen kursieren, wie sich Nutzer bei den zuständigen Behörden, wie beispielsweise der Aufsichtsbehörde, beschweren können. Insoweit ist zu erwarten, dass die Zahl der Beschwerden zunehmen wird, mit denen sich die Behörden auseinandersetzen müssen. Wie sie letztlich damit umgehen bleibt abzuwarten.
Prüfen Sie, welche Cookies auf Ihren Webseiten für welchen Zweck zum Einsatz kommen. Welche von diesen Cookies brauchen Sie zwingend?
Sind diese Cookies „unbedingt erforderlich?“ Beispielhaft handelt es sich sehr wahrscheinlich um „unbedingt erforderliche“ Cookies, die für eine „Warenkorb Funktion“ benötigt werden. Hier benötigen Sie auch weiterhin keine Einwilligung.
Für alle anderen Cookies, welche für den fehlerfreien Betrieb der Webseite nicht „unbedingt erforderlich“ sind, benötigen Sie eine Einwilligung des Nutzers, bevor der Cookie gesetzt wird.
Bevor ein Nutzer eine Einwilligung erteilen kann, muss er informiert werden (Informationen über den Zweck des Cookies, die Empfänger, Dauer und wer Verantwortlicher für die Verarbeitung ist, Rechtsgrundlage). Dies erfolgt im Regelfall in Ihren Informationspflichten auf der Webseite. Bedenken Sie, dass insbesondere bei Cookies, die zu Werbezwecken gesetzt werden, eine sog. „gemeinsame Verantwortlichkeit“ vorliegen kann.
Kann ich also den Nutzer fragen, ob er mit „Statistiken“ einverstanden ist und habe damit eine Einwilligung für alle Arten von Statistiken?
Der EuGH hat diese Fragestellung nicht behandelt, sondern lediglich ausgeführt, dass alle Anbieter genannt werden müssen.
Die Datenschutzkonferenz scheint in Ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ keine expliziten Einwilligungen für die einzelnen Anbieter zu fordern. Sie spricht von der Einwilligung in “Verarbeitungsvorgänge” unter “Nennung der Akteure”.
Die Idee, alle Nutzer von dem Besuch meiner Seite auszuschließen, wäre eine interessante Möglichkeit, um faktisch doch an die Einwilligung der Nutzer zu kommen. Bei dieser Fragestellung geht es um die umstrittene Frage des Kopplungsverbotes.
Der EuGH musste sich mit dieser Fragestellung nicht befassen. Der Generalanwalt hat aber in seinen Schlussanträgen ein derartiges Kopplungsverbot zumindest im Hinblick auf Direktmarketing besprochen und für erlaubt gehalten.
Reichweitenmessung bedeutet nichts anderes, als die Nutzer die sich auf Ihrer Webseite bewegen zu tracken und die Klickzahlen zu messen. Nach der Richtlinie, die im streitgegenständlichen Verfahren Prüfungsgegenstand gewesen ist, bräuchte der Betreiber also eine Einwilligung des Nutzers.
Matomo auf dem eigenen Server zur Messung
der Nutzer- und Klickzahlen weiter möglich?
Wer aber derzeit auf seiner Webseite eine derartige Messung durchführt, wird meiner Auffassung nach derzeit nicht in Sorge sein müssen, dass die Aufsichtsbehörde gegen ihn vorgeht, wenn er keinen "Cookie-Banner mit Einwilligung" verwendet. Wie ich bereits weiter oben ausführte, ist die Richtlinie, die dem streitgegenständlichen Verfahren zugrunde liegt nicht unmittelbar anwendbar, solange sie nicht ins deutsche Recht umgesetzt ist. Der deutsche Gesetzgeber hat diese Richtlinie aber nur halbherzig umgesetzt. Nutzer sollen nach dem deutschen TMG nur ein sog. "Widerspruchsrecht" haben. Das Ende vom Lied ist die Anwendbarkeit der DSGVO, welche nach Ansicht der Aufsichtsbehörden unter bestimmten Voraussetzungen nach Art. 6 lit. f. möglich ist.
Allerdings gibt es derzeit Stimmen, die laut werden, dass die RL im Rahmen der Abwägung des berechtigten Interesses anch Art. 6 lit. f DSGVO Berücksichtigung finden sollten. Diese Ansicht halte ich aber in Anbetracht der Tatsache, dass die Richtlinie im TMG umgesetzt wurde, für falsch.
Sollten Sie sich für diesen Weg entscheiden, ist aber zu beobachten, ob der Gesetzgeber nicht doch die Richtlinie ordentlich umsetzt. Hier sei aber anzumerken, dass die sog. ePrivacy-VO bereits in den Startlöchern steht und vorsieht, die sog. Reichweitenanalyse gesetzlich zu erlauben.